[发明专利]基于插桩的行为监控方法及系统

说明书

本发明公开了一种基于插桩的行为监控方法及系统，其中，该方法包括：宿主机检测模块通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块生成的监控列表；分别针对监控列表中包含的各个待监控地址，确定该待监控地址所对应的内存位置，并向该内存位置插入预设插桩指令；当宿主机检测模块检测到由预设插桩指令的执行过程而触发的第二虚拟机退出事件时，根据第二虚拟机退出事件查询与预设插桩指令的执行过程相关的数据信息；根据查询到的数据信息执行检测任务，以实现行为监控。该方式使插桩操作以及行为监控功能能由宿主机检测模块实现，从而在虚拟机环境因各种外部原因而出现异常时，将虚拟机环境异常所导致的影响降至最低。

技术领域

本发明涉及计算机技术领域，具体涉及一种基于插桩的行为监控方法及系统。

背景技术

虚拟机(Virtual Machine，简称VM)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在现有技术中，能够利用虚拟机实现恶意行为的检测，从而检测出威胁源。例如，可以通过虚拟机技术构建沙箱环境，以便在沙箱环境中进行安全检测。另外，在进行安全检测的过程中，通常需要针对特定的指令进行插桩操作，以监控该指令的执行过程。

但是，发明人在实现本发明的过程中发现，现有技术中的上述方式至少存在下述缺陷：在基于虚拟机的行为监控方法中，只能通过设置在虚拟机内部的安全检测模块实现行为监控功能，一旦虚拟机环境因各种外部原因而出现异常，则会导致安全检测模块无法正常运行，从而对行为监控功能造成影响。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于插桩的行为监控方法及系统。

根据本发明的一个方面，提供了一种基于插桩的行为监控方法，包括：

宿主机检测模块通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块生成的监控列表；

分别针对所述监控列表中包含的各个待监控地址，确定该待监控地址所对应的内存位置，并向该内存位置插入预设插桩指令；

当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚拟机退出事件时，根据所述第二虚拟机退出事件查询与所述预设插桩指令的执行过程相关的数据信息；

根据查询到的数据信息执行检测任务，以实现行为监控。

根据本发明的另一个方面，提供了一种基于插桩的行为监控系统，包括：

宿主机检测模块以及虚拟机检测模块；其中，所述宿主机检测模块进一步包括：

第一退出单元，适于通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块生成的监控列表；

插桩单元，适于分别针对所述监控列表中包含的各个待监控地址，确定该待监控地址所对应的内存位置，并向该内存位置插入预设插桩指令；

第二退出单元，适于当所述宿主机检测模块检测到由所述预设插桩指令的执行过程而触发的第二虚拟机退出事件时，根据所述第二虚拟机退出事件查询与所述预设插桩指令的执行过程相关的数据信息；

监控单元，适于根据查询到的数据信息执行检测任务，以实现行为监控。

根据本发明的又一方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，处理器、存储器和通信接口通过通信总线完成相互间的通信；

存储器用于存放至少一可执行指令，可执行指令使处理器执行上述基于插桩的行为监控方法对应的操作。

根据本发明的再一方面，提供了一种计算机存储介质，存储介质中存储有至少一可执行指令，可执行指令使处理器执行如上述基于插桩的行为监控方法对应的操作。